DSGVO (GDPR) – Es hängt alles von Ihren Angestellten ab

Nachhaltige Compliance

Wenn Sie sich das Ziel gesetzt haben, innerhalb von drei Wochen 20kg abzunehmen, werden Sie höchstwahrscheinlich drastische Massnahmen ergreifen müssen; sei es eine kostspielige Kur oder eine strikte Befolgung der neuesten Modediät. Wenn Sie jedoch nichts an Ihrem Verhalten ändern und sich nicht eine neue – nachhaltige – Lebensweise aneignen, werden Sie Ihr Gewicht nie permanent loswerden können. Innerhalb von drei Wochen 20kg abnehmen zu müssen – so fühlt sich die Perspektive, die DSGVO-Richtlinien befolgen zu müssen, für viele Unternehmen an. Je mehr sich Unternehmen um die Compliance bemühen, desto mehr verlieren Sie die Notwendigkeit aus den Augen, einen nachhaltigen Ansatz zu implementieren. Diese Nachhaltigkeit kann man nicht mit einer einzigen hohen Aufwendung erreichen, sondern sie bedarf kontinuierlicher Investitionen in die Ausbildung von Mitarbeitern.

Die Frist, 25. Mai 2018, rückt immer näher, und für Organisationen – je nach Grösse und Datenschutz-Kompetenzen – bedeutet die Einführung der neuen DSGVO-Richtlinien, dass ihnen mit hoher Wahrscheinlichkeit eine lange, komplizierte und kostspielige Reise bevorsteht. Bei Compliance-Programmen stehen meistens die Entwicklung und Implementierung operationeller, juristischer, IT-bezogener und sicherheitstechnischer Massnahmen im Mittelpunkt, doch um erfolgreich zu sein, müssen diese allen Mitarbeitern sorgfältig erklärt und von diesen verstanden werden. Versucht man, diese Programme einzeln umzusetzen, können sie einem als komplex und unerreichbar vorkommen. Führt ein Unternehmen jedoch vernünftige Datenschutzrichtlinien ein und verfügt es über eine angemessene sicherheitstechnisch-organisatorische Kultur, werden solche Programme eine langanhaltende Wirkung haben.

Achillesferse Mitarbeiter

Die meisten Organisationen speichern eine Vielzahl von Daten, und in Entsprechung mit der DSGVO werden sie angemessene Massnahmen ergreifen müssen, um u.a. persönliche Daten zu schützen. Also jene Daten, anhand derer jemand persönlich identifiziert werden kann. Dazu gehören sowohl Mitarbeiter, als auch Kunden. Viele Unternehmen werden das so interpretieren, dass sie ihre Datenbanken durch nötige Sicherheitsvorkehrungen schützen müssen. Doch nicht mal mit den besten Prozessen und Sicherheitssystemen kann eine Organisation gegen Datenschutzverstösse immun bleiben. Es wird immer klarer, dass Bedrohungen nicht nur von aussen, sondern auch von innen kommen. Eine vor kurzem durchgeführte Studie der IT-Firma Bluesource ergab, dass 60% aller leitenden Angestellten im IT-Bereich Ihr eigenes Personal als die grösste Bedrohung für die DSGVO betrachten.¹ Diese Schlussfolgerung wird durch viele Beispiele interner Datenschutzverstösse bestätigt, die immer wieder in die Schlagzeilen geraten.

Man könnte sagen, dass der Faktor, der normalerweise als die Stärke einer Organisation – nämlich ihre Mitarbeiter – gilt, im Grunde ihre Achillesferse darstellt, wenn es um Datenschutz und Compliance geht. Ob dies nun unabsichtlich oder vorsätzlich passiert, können Mitarbeiter Organisationen dem Risiko einer Klage und einer Schadensersatzzahlung, erheblicher finanzieller Aufwendungen und einer dramatischen Rufschädigung aussetzen.

Das Risiko einer schlecht informierten Belegschaft

Einer der Hauptzwecke der DSGVO besteht darin, Einzelpersonen die Kontrolle über ihre eigenen persönlichen Daten zurückzugeben. Wie kann man aber sicher sein, dass die Angestellten, die die wichtigsten Interaktionen und Beziehungen mit Betroffenen beeinflussen, die Datenschutzvorschriften verstehen und befolgen?

Mit den neuen Vorschriften können neue Systeme, Sicherheitsmassnahmen, Geschäftsprozesse und modernisierte Benutzerschnittstellen für Kunden einen Beitrag zur Compliance leisten. Dennoch sind es die Angestellten, deren Arbeit auch den Umgang mit persönlichen Daten umfasst und die sich an die Regelungen halten und den Zweck dahinter wirklich verstehen müssen, damit die Betroffenen davon profitieren können.

Eine Belegschaft, die schlecht über Datenschutz, Sicherheit und die DSGVO-Anforderungen informiert ist, birgt sehr reale Risiken. Die Erfahrung zeigt, dass es schon dann zu einer Datenschutzverletzung dann kommen kann, wenn persönliche Daten in einer E-Mail enthalten sind oder wenn ein unverschlüsselter USB-Stick mit persönlichen Daten in die falschen Hände gerät. Laut einem aktuellen Bericht von Sharp Business Systems hatte «jeder zwölfte Büroangestellte Zugang zu vertraulichen Informationen, den er nicht hätte haben dürfen, und 24% gaben zu, sie haben arbeitsbezogene Informationen auf der öffentlichen Cloud aufbewahrt, obwohl sie dazu nicht befugt waren.»².

Bussen in Millionenhöhe

Die Konsequenzen eines Verstosses gegen die DSGVO-Richtlinien sind gravierender, als alles, was wir je erlebt haben. Strafen in Höhe von bis zu €20 Mio. (£17,1 Mio.) oder 4% des Gesamtumsatzes  – je nachdem, was höher ist – könnten den Fortbestand der Organisationen bedrohen, die sich schuldig machen.

Dabei sind es nicht nur finanzielle Folgen, die Organisationen drohen, sondern auch der Schaden, den ihr Ruf als Folge der mit dem Verstoss verbundenen Publicity nehmen kann. Ein prominentes Beispiel war ein Cyberangriff auf das britische Unternehmen TalkTalk im Oktober 2015, als Daten von 150.000 Kunden entwendet wurden, da das Unternehmen nicht imstande war, eine sichere Verschlüsselung und Speicherung von Daten zu gewährleisten.³ Die Auswirkung des Angriffs wurde schnell klar; TalkTalk verlor £15 Mio. an Einnahmen und musste dazu noch im dritten Quartal 2015 «aussergewöhnlich hohe» Kosten in Höhe von £40-45 Mio. entrichten. Ferner gestand das Unternehmen, dass 95.000 von den 101.000 Abonnenten, die es während der nachfolgenden drei Monaten verlor, ihr Konto wegen dieses Verstosses geschlossen hatte.⁴ Mit einem Gesamtumsatz von £1,795 Mrd. im Jahre 2015⁵ hätte TalkTalk gemäss den DSGVO-Richtlinien eine Strafe von bis zu £71,8 Mio. drohen können.

Wie die Nachforschungen des Information Commissioner’s Office (ICO) in den vergangenen 4 Monaten ergaben, resultierten 53% dieser Fälle aus mangelnden Datenschutzmassnahmen. 70% davon entstanden sowohl aus unabsichtlichem, als auch aus vorsätzlichem Datenverlust, der von den eigenen Angestellten des jeweiligen Unternehmens verursacht wurde.⁶ Derartige Delikte können durch physikalische und technische Handlungen (z.B. Zugriffskontrolle) – zusammen mit strengen Richtlinien – minimiert werden; jedoch erfordern die DSGVO-Richtlinien eine Änderung der Gewohnheiten und der Organisationskultur, um diesen Risiken optimal entgegenwirken zu können.

Ein 3-Schritte-Ansatz

Wie schützt man sich also gegen Datenschutzverstösse, die von Mitarbeitern verursacht werden?

Schritt 1. Informieren

Datenschutz und Sicherheit zu einer Kernkomponente der Organisationskultur zu machen ist kritisch für eine erfolgreiche Umsetzung jedes DSGVO-Compliance-Programms. Die Einführung eines umfassenden Programms zur Bewusstseinsschaffung und Schulung von Mitarbeitern, mit dem das Verständnis und die Ausbildung der Mitarbeiter verbessert und ihr Verhalten verändert werden sollen, stellt eine gute Ergänzung zu anderen DSGVO-Compliance-Initiativen dar und sorgt dafür, dass diese noch lange wirksam bleiben. Wenn Sie die DSGVO zum Teil Ihres Firmenbewusstseins machen, wird es Ihnen helfen, eine Unternehmenskultur zu schaffen, bei der dem Datenschutz die oberste Priorität eingeräumt wird, wodurch die Compliance langfristig gewährleistet werden kann.

Die schnelle und einfache Lösung: Angestellten über die Anforderungen der DSGVO und über die neuen Prozesse oder Systeme informieren. Jedoch müssen Mitarbeiter auch in Sachen Datenschutz und Sicherheit ausgebildet werden. Dabei müssen die Konsequenzen ihrer Handlungen betont werden. Das endgültige Ziel ist es, ihr Verhalten und ihre Mentalität im Hinblick auf die Handhabung persönlicher Daten zu ändern.

Schritt 2. Schulung

Eine Datenschutz- und Sicherheitskultur kann nicht durch eine Reihe von Standalone-Aktivitäten erreicht werden. Abgesehen von allgemeinem Bewusstseinstraining für alle Mitarbeiter sind massgeschneiderte Besprechungen und Schulungen für bestimmte Mitarbeiterkategorien erforderlich, um eine kurz- und mittelfristige Wirkung zu erzielen, z.B.:

• Geschäftsleitung und die oberste Führungsebene – Erklärung zur Auswirkung der DSGVO auf ihre konkrete funktionale Bereiche
• Operational Teams – Fokus auf die Verarbeitung persönlicher Daten durch Teams; diese sollten motiviert werden, neue Geschäftsprozesse zu begrüssen und deren Ablauf zu begünstigen
• Design- und Entwicklungsteams – Es sollten neue Designrahmen ausgeführt werden, bei denen die Notwendigkeit betont wird, die Verbreitung persönlicher Daten innerhalb eines Unternehmens zu minimieren, die Systeme, in denen Daten gespeichert werden, zu isolieren, und die Nutzung persönlicher Daten auf bestimmte Teile der Organisation zu begrenzen.

Schritt 3. Integration

Verbindliche Schulungen sind nicht genug, um das notwendige Bewusstsein aufrechtzuerhalten und die Kultur zu ändern. Stattdessen sollten Mitarbeiter permanent an ihre Verpflichtungen und die bewährten Praktiken erinnert werden. Um diesen Prozess zu begünstigen, sollte die Einrichtung eines Excellence-Datenschutzzentrums in Erwägung gezogen, für jede Abteilung ein Datenschutz- und Sicherheitsbeauftragten ernannt, regelmässig Newsletter veröffentlicht, jährliche Events veranstaltet und Datenschutz und Sicherheit zu einem Teil der persönlichen Zielsetzungen der Angestellten und der Leistungsbeurteilung gemacht werden.

Zu seiner Effektivität muss das Bewusstseins- und Trainingsprogramm von der Unternehmensleitung und der obersten Führungsebene unterstützt werden. Letztendlich ist es die Unternehmensleitung, die die Macht hat, Datenschutz in die Leitlinien und Werte zu integrieren. Eine Befürwortung durch die Unternehmensleitung wird die Wichtigkeit des Datenschutzes in der Organisation erhöhen und dabei helfen, eine nachhaltige Kultur, bei der dem Datenschutz und der Sicherheit die oberste Priorität eingeräumt wird, zu integrieren.

Tun Sie sich hervor

Die Vorteile einer integrierten Datenschutz- und Sicherheitskultur umfassen mehr, als ein blosses Reduzieren des Risikos eines Deliktes und der daraus resultierenden Geldbussen. Genau wie bei der Entscheidung, ob man sich für eine nachhaltige Gewichtsverlustmethode oder vielleicht doch lieber für einen kostspieligen Eingriff entscheidet, stellt die DSGVO eine Weggabelung dar, bei der man die Gelegenheit nutzen kann, seine Angestellten zu trainieren und zu motivieren und im gesamten Unternehmen für eine «Customer first» Kultur zu sorgen – eine Strategie, die lang anhaltende Vorteile schafft.

Die Angestellten, die die Wichtigkeit und die Zielsetzungen des Datenschutzes verstehen, sind eher bereit, sich an Prozesse zu halten (und auch zu ihrer Strukturierung beizutragen), die für Datenschutz und Sicherheit förderlich sind. Im Gegenzug werden sie Produkte und Dienstleistungen entwickeln und für ein Kundenerlebnis sorgen, bei dem der Datenschutz im Mittelpunkt steht. Sollte es zu einem Datenschutzverstoss kommen, werden datenschutzbewusste Mitarbeiter mit höherer Wahrscheinlich proaktiv und nach dem Prinzip «Privacy by Design» (integrierter Datenschutz), einem Hauptprinzip der DSGVO, vorgehen.

Da in der DSGVO der Datenschutzstatus in der Gesellschaft besonders hervorgehoben wird, sind es diese datenschutzbewussten Organisationen, die sich hervortun werden, indem sie sicherheitsbezogene Zwischenfälle, finanzielle Verluste und Rufschäden vermeiden – aber auch das Vertrauen und die Treue ihrer Kunden erhöhen. Genauso wie die, die sich für den nachhaltigen Weg zum Gewichtsverlust entscheiden haben, werden die Organisationen, die sich für einen ganzheitlichen und nachhaltigen Ansatz an die DSGVO-Compliance entschieden haben, davon auf lange Sicht profitieren.

Mitarbeiter, die die geltenden Gesetze verstehen, sich an die Datenschutz-Richtlinien halten und sich auch dessen bewusst sind, was auf dem Spiel steht, wenn sie es nicht tun, werden Ihrer Organisation ermöglichen, ein beispielhaftes DSGVO-Compliance-Programm zu entwickeln und in die Tat umzusetzen.

 

1 https://www.bluesource.co.uk/knowledge-hub/computer-weekly-features-gdpr-survey/

2 http://www.cbronline.com/news/cybersecurity/business/ignorance-isnt-bliss-gdpr-fines-loom-staff-ignore-data-policies/

3 https://www.theguardian.com/business/2015/oct/30/talktalk-hackers-accessed-fraction-data-cyber-attack

4 http://www.wired.co.uk/article/talktalk-hack-customers-lost

5 TalkTalk Annual Report 2015 - https://www.talktalkgroup.com/dam/jcr:04037e42-6a6d-4fcf-9bea-8f339240d0ba/Annual%20Report%202015%20Final.pdf

6 https://ico.org.uk/action-weve-taken/